美国网络安全与信息保障研发计划简介

王宇

(装备学院信息装备系，北京101416)

美国网络安全与信息保障研发计划简介

王宇

(装备学院信息装备系，北京101416)

简要介绍美国联网与信息技术研究开发计划,重点对诱导改变研发领域涉及的三个主题及其相关研究项目进行综述,指出从基础理论和系统架构层面加强可信网络、高保障平台、移动目标防御等技术的研究,建立主动防御、合作防御的信息安全保障体系,是应对新型网络攻击威胁的有效途径。

网络安全;信息保障;计划

0 引言

美国联网与信息技术研究开发计划(NITRD,The Networking and Information Technology Research and Development Program)[1]是由美国政府资助的,从事计算、联网、软件等高级信息技术研究的组织制定的年度计划。该组织的主要成员包括:美国商业部、国防部、能源部、健康和人力服务部、国土安全部、环境保护部、国家航天航空局(NASA)、国家科学基金(NSF)等,下辖多个程序小组:网络安全与信息保障(CSIA,Cybersecurity and Information Assurance)小组、高可信软件和系统(HCSS,High Confidence Software and Systems)小组、高级端计算基础设施和应用(HEC I＆A,High End Computing Infrastructure and Applications)小组、高级端计算研究和开发(HEC R＆D,High End Computing Research and Development)小组、人机交互和信息管理(HCI＆IM,Human Computer Interaction and Information Management)小组、大规模联网(LSN,Large Scale Networking)小组等。

CISA致力于研发检测、预防、阻止、响应攻击并采取行动从攻击造成的损害和威胁中恢复的技术,以及保障计算机及网络系统可用性、完整性或机密性的技术。

2011年,白宫科学技术政策办公室发布了《可信网络空间:联邦网络安全研究开发战略计划——支持网络安全研究的联邦战略优先与目标合作框架》,定义了四个要优先研发的领域:

1)诱导改变:采用改变游戏规则的方式,突破现状,深入分析产生现有威胁的根本原因,研究的主题包括:移动目标、可裁剪的信任空间、设计中的安全,以及网络经济刺激;

2)建立科学基金:在知识团体中建立有组织的、紧密合作的科学基金,促进网络安全领域采用系统化、严格的、规范的科学方法;

3)研究影响最大化:促进各研究团体的交叉融合,加强政府和私有企业的交流,加强国际合作,加强与其他国家优势项目的联合;

4)加快向实践的转化:致力于将研究产生的新技术和新战略向实践转化,在网络安全领域建立科学基金,取得实际的效益。

下面,我们重点对诱导改变研发领域涉及的前三个主题及其相关研究项目进行综述。

1 诱导改变研发领域

1.1 可裁剪的信任空间

该主题旨在实现灵活的、可适应的、分布式的信任环境,支持上下文相关的信任决策,使得在面对不断变化的威胁时,仍能满足用户在功能和策略等方面的信任需求。主要涉及以下领域:

网络物理系统安全、防御性网络空间作战的可信基础、高保障安全架构、IT安全自动化/持续监控/安全内容自动化协议计划、云系统的安全、安全的无线联网、安全和可信的网络空间计划、基于数字版权和硬件支持的信任计划、基于增强健壮性的战术作战的安全、能源运输系统的网络安全计划等。

1.2 移动目标

该主题旨在开发和创建分析、评价、部署移动目标防御的相关机制、策略和技术,以提升信息系统随时间不断改变、持续移动的能力,进而增加攻击者的攻击复杂度和攻击成本,降低自身脆弱性暴露和恶意代码攻击成功的机率,增加系统的弹性,其最终目的是通过增强敏捷性实现更有弹性的系统。主要涉及以下领域:

嵌入式系统弹性和敏捷性、基于配置的移动目标防御、网络机动、适应性网络防御、网络敏捷计划、安全和可信的网络空间计划、移动目标防御计划、预应式适应性系统、安全自动化和脆弱性管理、面向服务架构的信任管理、健壮的自治计算系统、信息安全自动化计划、实现同步规避的网络空间主动恢复、限制敌方侦察的变形网络资产、支持信息保障的防御增强技术,有弹性的、适应性的、安全的主机纯净设计和面向任务的弹性云计划,能源运输系统的网络安全计划、自治网络敏捷性等。

1.3 设计中的安全

该主题旨在开发更加安全的软件系统,增强高保障的、软件密集型系统的可预期性和可靠性,能够有效管理其开发风险、成本、时间进度、质量和复杂度,创建能支持同时开发网络安全系统和相关保障条件的工具和环境,以确保系统能抵抗针对软件脆弱性的攻击。主要涉及以下领域:

生存性系统工程、可信计算、安全的系统软件和应用软件开发环境、信任的根、安全和可信的网络空间计划、软件保障工具、静态工具分析现代化项目、软件保障度量和工具评估、网络安全的自动化程序分析、高保障网络军事系统、能源运输系统的网络安全计划、加密数据的可编程计算等。

2 具体研究项目及计划简介

2.1 网络机动

美军通信电子研究开发和工程中心主导的网络机动部队(NMC,Net Maneuver Commander)项目是一个网络指控原型系统[2],它采用主动方式改变网络中的元素,比如利用随机算法选择机动目标,提供多样化的硬件平台、操作系统和网络,其目的是限制敌方对网络的侦察,对系统脆弱性的利用,降低网络攻击成功的概率。

典型的网络攻击流程如图1所示。网络机动部队通过采集威胁信息,对历史数据的分析预测,改变受控网络的软硬件平台配置(端口、协议、操作系统、应用程序、地址、策略、链接等)等方式,使网络呈现出随机变化的特性。网络机动要考虑的要素包括(如图2所示)。

1)机动的时间间隔:即多长时间完成一次机动;

2)多样性:即修改哪些网络配置信息;

3)地理位置:即对哪个网络、多大范围实施机动。

图1 典型的网络攻击流程

图2 网络机动要考虑的因素

美军限制敌方侦察的变形网络资产(MORPHINATOR,The Morphing Network Assets to Restrict Adversarial Reconnaissance)项目是网络机动的典型应用,该项目通过随机修改网络主机、应用的配置,比如网络地址、应用端口等,使敌方难以检测或预测网络的特性。此外,通过蜜罐网络与网络机动部队路由器的配合,可方便地实现对网络攻击的容器隔离和主动取证分析。

2.2 多级安全

美国空军提出的多级安全——多态计算架构(MLS－PCA,Multi－Level Security＆Polymorphic Architecture)[3]旨在解决机载电子终端系统跨多个安全等级域时,不同等级域的应用程序既能共享终端的处理器、内存等资源,又能有效解决资源共享带来的访问控制和跨域安全管理复杂困难的问题(如图3所示)。具体做法是:采用多处理器分布式计算的方式,通过集中调度,让每个进程独享处理器和内存资源,进而有效降低访问控制的复杂度。MLSPCA很好地体现了面向未来的分布式、小型化、专用化计算的思想,并将这一思想应用于安全领域,降低了多级安全管理的成本。

图3 多级安全——多态计算架构

2.3 持续监控

持续监控项目[4]提出的目的是为了将风险管理彻底融入到整个信息系统的全生命周期中(如图4所示)。随着网络规模的不断扩大和各种应用的不断增多,高级持续性威胁(APT,Advanced Persistent Threat)能够以更加隐蔽、持久的方式实施目标针对性攻击,给信息系统及网络带来最大的安全挑战。因此,建立面向全网的持续监控/数据采集体系,实现资产管理、配置管理、脆弱性管理、威胁管理和风险管理的统一,更及时地掌控网络安全态势,已经变得越来越重要。

图4 持续监控的流程

实现网络持续监控的步骤包括:

1)定义持续监控的策略:监控什么(风险、资产、配置…)?达到什么规模(水平)?

2)建立测量和度量指标:比如要定期(每小时/每天/每周)度量网络中非授权组件所占的比例,那么支持这一度量的测量指标包括:物理资产的位置、逻辑资产的位置(子网/IP地址)、MAC地址、网络连接策略等;

3)设定监控和评估的频率;

4)执行持续监控计划:包括脆弱性扫描、入侵检测、配置管理、资产管理等;

5)分析反馈的数据或报告:风险评估等;

6)对分析结果做出响应;

7)评审/更新监控策略/计划。

与持续监控项目相关联的是安全内容自动化协议(SCAP:Security Content Automation Protocol),该协议为安全软件产品进行安全内容,如软件缺陷、安全配置信息、安全度量值等的通信制定了标准规范和统一术语,目的是方便对安全产品的集中管理,对安全日志信息和审计信息的集中采集与关联分析,进而提升安全产品之间的互操作性。

2.4 安全可信的网络空间

美国科学基金会设立的安全可信的网络空间(SaTC,Secure and Trustworthy Cyberspace)项目[5],旨在从可信计算系统和社会、行为、经济科学等方面解决网络安全问题,防止网络系统遭受恶意攻击行为的损害,保护其可用性和保密性。该项目下辖多个研究计划。以可信赖的计算机系统计划为例,该计划的研究目标是:

1)支持设计、建立和运行能抵抗恶意攻击者的网络基础设施;

2)支持从理论到实践再到以人为中心的设计方法;

3)研究并建立一整套可信的理论、模型、算法、方法、架构、语言、工具、系统和评估框架;

4)研究如何在安全性、保密性和可用性之间取得折衷;

5)研究能够评价、推导、预测系统可信性的方法;

6)研究能够增加攻击者成本的方法,并支持构建可裁剪的安全环境。

2.5 高保障平台

高保障平台(HAP, High Assurance Platform)计划是美国国家安全局2007年提出的,旨在定义并开发下一代安全的计算平台,该平台能够综合运用可信计算技术显著提高数据、应用和网络的保护能力,构建一个安全互联的网络世界。

在HAP中,操作系统被看作是不可信的组件,虚拟机管理程序(Hypervisor)成为可信计算基(TCB,Trusted Computing Base),操作系统和应用程序受到可信计算技术的保护。HAP提供了丰富的应用工具箱,支持虚拟专用网(VPN)、存储加密、VoIP等,提供设备完整性度量、设备认证和用户认证等支持,为建立可信赖的安全网络奠定了坚实的基础。

2012年,美国开放内核实验室(OK Lab)发布了高保障框架[6],该框架响应HAP计划,利用商业和开源的软硬件系统构建高保障的移动平台(如图5所示),使之具有以下特性:

1)采用商业组件构建高保障移动平台;

2)针对应用相关的用例,可重用组件;

3)个人和安全的通信及应用均可使用用户熟悉的系统(如Android);

4)提升移动计算的安全保障能力,并将其与桌面安全统一起来;

5)能够在安全的环境中运行应用程序,管理数据并与可信的对等方通信,采用商业组件定制并满足政府和企业的保障需求;

6)提供隔离的商业环境以支持终端用户丰富的应用和个人的通信需求;

7)支持数据与通信安全、认证的设备接口。

该平台充分利用虚拟机技术(OKL4 Microvisor)实现了容器隔离、细粒度访问控制和硬件抽象。

1)容器隔离,支持在同一移动互连设备中建立多级可信/安全;

2)细粒度的访问控制,能够根据访问策略和授权信息实现对用户登录、移动设备接入、网络数据交换、应用资源共享的强制和自主访问控制;

3)硬件抽象,通过虚拟化技术实现了跨平台特性。

高保障框架的实践证明,采用商业可信计算技术以及虚拟化技术能够建立一个安全、可靠、可用的计算平台。

图5 基于高保障框架的移动平台

2.6 高保障网络军事系统

高保障网络军事系统(HACMS,High－Assurance Cyber Military Systems)[7]是美国DARPA提出的研究项目。该项目综合采用定理证明和模型检查程序等软件正确性、可靠性验证技术,研究并开发基于可执行的、形式化的工具,规范生成半自动化的代码,并可进行自动化的代码检查证明,确保代码满足功能和安全性需求,为建立高保障的网络物理系统提供支持。

与HACMS紧密相关的网络安全自动化程序分析(APAC,Automated Program Analysis for Cybersecurity)项目,能够快速可靠地分析移动App中的安全问题,该项目采用定理证明、逻辑及机器证明的方法,将高级特性转换为机器可证明的低级特性进行证明。比如:“某App不是窃听程序”这一高级特性,可被转换为“当按下通话键时该App才录音”这一低级特性,再交由机器进行安全性证明。

2.7 面向任务的弹性云

面向任务的弹性云是DARPA信息革新办公室提出的研究项目[8]。之所以提出这一研究项目,是源于2008年美国国防部分级的军事计算机网络遭受了大规模的恶意代码攻击。攻击者通过中东地区某军事基地的军用膝上电脑,采用受感染的Flash驱动方式,将恶意代码植入美中央司令部,并秘密窃取了作战计划。由于现有的云计算环境或分布式计算环境中节点之间具有很高的信任关系,因此一旦某个节点被恶意代码感染,就会快速传播并造成巨大的危害,云起到了攻击放大的作用。为此,DARPA设立该项目的目的就是要综合运用面向终端的攻击容忍(CRASH,Clean－slate design of Resilient,Adaptive,Secure Hosts)技术,提升云环境下分布式系统的脆弱性抑制和系统抗攻击弹性能力。具体能力包括:

1)合作免疫能力:比如采用冗余备份、多机表决执行结果、分布式存储、容错等技术,提升系统在攻击下的生存能力;

2)构建云范围下的公共健康基础设施:能够识别攻击、评估资源的可信度、持续调度资源以保障所需的任务,实现联合检测、联合态势感知、统一响应恢复和集中资源调度等;

3)可管理的、面向任务的多样性和移动目标防御能力:利用CRASH构建多样化的主机,利用公共健康基础设施有效监控云的状态,利用移动目标防御技术周期性地改变主机的任务分配。

该项目主要涉及以下技术:

1)可扩展的、可协调的免疫分布式防御技术;

2)共享的态势感知、信任建模和诊断技术(相当于基于合规模型进行攻击检测与态势感知);

3)任务级资源的优化技术;

4)面向任务感知的联网技术;

5)可管理的、面向任务的多样化技术;

6)技术的演示验证。

与面向任务的弹性云紧密相关的CRASH计划,旨在从硬件、系统软件、编程语言、设计环境等方面,综合运用类型安全、内存完整性保护、代码/数据区分、信息流访问控制限制、机器学习、静态代码分析、建模、自适应编译、诊断修复等技术,从设计层面降低终端设备(主机)的脆弱性被攻击利用的可能性,设计出高度健壮、适应性强的、安全的计算机系统,解决终端设备(主机)面临的以下问题:

1)当前的软件太复杂、太单一,获得的操作系统内核特权太高,集成在内核中的代码太多,使得软件的攻击面太大;

2)当前的计算机系统在面临攻击时缺少弹性,诊断故障、修补缺陷的能力太弱;

3)当前的计算机系统缺乏多样性,在面对攻击时容易造成大面积的系统瘫痪。

2.8 X计划

美国防高级研究计划局于2012年11月20日发布了“基础网电作战”(X计划)项目[9],旨在“为美军在实时、大规模和动态性网络环境中认知、规划和管理网电行动,发展革命性技术”,该计划力图将网络视图、作战单元和能力集等网络战场中的概念集成到网络作战的计划、执行和评估等过程中,其关键技术包括:

1)系统体系结构:开发安全体系结构、应用编程接口和数据格式规范;

2)网络战场分析;

3)任务规划;

4)任务执行;

5)推理界面。

X计划定义的网络视图包括作战单元和能力集。网络视图包括网络的逻辑拓扑和元数据(边、节点的特性),节点的元数据包括:连接数量、操作系统类型、补丁版本与等级、协议、端口等;边的元数据包括:链路容量、延迟特性、维持连接的持久性等。通过动态不间断地监测、搜集、提取并可视化这些信息,可以为网络作战人员提供近实时的网络空间态势感知能力,为评估战场、制定作战计划提供决策支持。

3 结语

美国总统奥巴马在2009年指出:“美国21世纪的经济繁荣将依靠网络安全”。2011年,美国发布《网络空间行动战略》[10],明确提出为了确保美国国家安全及经济的繁荣,必须深刻认识到网络空间是新的作战领域,为了在该领域取得作战优势,必须实施网络主动防御,确保金融、电信、能源、交通等国家和国防关键基础设施的安全,为此还必须开展政府部门之间,政府与军队之间,政府与地方企业之间广泛的协作,实施合作防御,并通过政府资助和主导的方式,加强网络安全与信息保障关键技术的研发,确保技术领先地位。网络空间的安全必须以信任为基础,通过增强网络的弹性和敏捷性,实现对关键任务的保障(如图6所示)。

图6 美国《网络空间行动战略》框架

通过简要分析美国网络安全与信息保障研发计划可以发现,从基础理论和系统架构层面加强可信网络、高保障平台、移动目标防御等技术的研究,建立主动防御、合作防御的信息安全保障体系,是应对新型网络攻击威胁,获取网络空间不对称信息优势的有效途径,值得借鉴。

[1] Networking and Information Technology Research and Development National Coordination Office.The Networking and Information Technology Research and Development Program[EB/OL].http://www.nitrd.gov.

[2] Paul Beraud,Alen Cruz.Using Cyber Maneuver to Improve Network Resiliency[C]//Military Communications Conference,2011.P1121－1126.

[3] Clark Weissman.MLS－PCA:A High Assurance Security Architecture for Future Avionics[EB/OL].http://www.acsac.org/2003/papers/weissman.pdf.

[4] Booz Allen Inc.Strengthening Security with Continuous Monitoring[EB/OL].http://www.boozallen.com.

[5] Jeremy Epstein.Secure and Trustworthy Cyberspace(SaTC)Program[EB/OL].http://www.nsf.gov/pubs/2012/nsf12503/nsf12503.htm.

[6] Open Kernel Labs,Inc.A High Assurance Framework for Mobile/Wireless Device Applications[EB/OL].http://www.oklabs.com/.

[7] DARPA,U.S.A.High－Assurance Cyber Military Systems(HACMS)[EB/OL].http://www.darpa.mil/Our＿Work/I2O/Programs/High－Assurance＿Cyber＿Military＿Systems.aspx.

[8] DARPA,U.S.A.Mission－oriented Resilient Clouds(MRC)[EB/OL].http://www.darpa.mil/Our＿Work/I2O/Programs/Mission－oriented＿Resilient＿Clouds.aspx.

[9] DARPA,U.S.A.Foundational Cyberwarfare(Plan X)[EB/OL].http://www.darpa.mil/Our＿Work/I2O/Programs/Plan＿X.aspx.

[10] DoD,U.S.A.Department of Defense Strategy for Operating in Cyberspace[EB/OL].http://www.defense.gov/news/d20110714cyber.pdf.

Brief Introducation of the USA Network Security and Information Assurance Research Plan

WANG Yu
(Department of Information Equipment,Equipment Academy,Beijing 101416,China)

The USA networking and information technology research program is briefly introduced,and three themes inducing change of research fields and corresponding research projects are overviewed in this paper.It is concluded that realizing information assurance architecture of active and cooperative defense according to basic theories and system frameworks to stengthen trusted network,high assurance platform and moving target defense technologies and so on,is an effective method to counter new network threat.

network security;information assurance;plan

TP393

A

1009－8054(2015)01－0116－05

2014－10－13

王 宇(1971—),男,博士,副教授,主要研究方向为信息安全。■